상세 컨텐츠

본문 제목

안드로이드 웜 악성코드, 왓츠앱 통해 배포돼

국내외 보안동향

by 알약4 2021. 1. 26. 09:02

본문

 

 

Beware — A New Wormable Android Malware Spreading Through WhatsApp

 

왓츠앱 메시지를 통해 다른 연락처로 자신을 전파하는 안드로이드 악성코드가 새롭게 발견되었습니다. 해당 악성코드는 애드웨어 캠페인으로 추정됩니다.

 

이 악성코드는 피해자의 왓츠앱을 통해 수신한 왓츠앱 메시지에 악성 화웨이 모바일 앱으로 이어지는 링크를 포함하여 자동으로 답장을 보내는 방식으로 확산됩니다.

 

사용자가 가짜 화웨이 모바일 앱에 대한 링크를 클릭하면, 가짜 구글 플레이스토어 웹사이트로 이동됩니다.

 

이 웜 애플리케이션이 설치되면, 피해자는 웜 공격에 악용할 권한에 대한 접근을 요청하는 팝업을 보게 됩니다.

 

악성코드는 왓츠앱의 메시지를 수신 후 알림 창에서 직접 답장을 보낼 수 있는 기능인 빠른 답장을 악용하여 수신한 메시지에 자동으로 답장을 보냅니다.

 

이 앱은 알림 읽기 권한 이외에도 백그라운드 실행, 오버레이와 같은 권한을 요청합니다. 해당 권한은 실행 중인 다른 앱 위에 자신의 컨텐츠를 표시하여 크리덴셜 및 추가 민감 정보를 훔치는데 악용할 수 있습니다.

 

 

<이미지 출처 : https://twitter.com/LukasStefanko/status/1352278725702856704>

 

 

Stefanko에 따르면, 이는 사용자들을 속여 애드웨어를 설치하거나 구독 사기를 당하도록 만들기 위한 것으로 추정됩니다.

 

또한 이 악성코드의 현재 버전은 왓츠앱 연락처에만 자동으로 답변을 보낼 수 있습니다. 하지만 추후 안드로이드의 빠른 답변 기능을 지원하는 다른 메시지 앱에도 적용되도록 업데이트될 가능성이 있습니다.

 

이 메시지는 동일한 연락처로 한 시간에 한 번만 전송되지만, 메시지의 내용과 링크는 원격 서버에서 불러오기 때문에 추후 다른 악성 웹사이트와 앱을 배포하는데 악용될 가능성이 있습니다.

 

이를 발견한 Stefanko왓츠앱 메시지를 통해 이러한 방식으로 자신을 확산시키는 안드로이드 악성코드를 분석한 것은 처음이라고 밝혔습니다.

 

Stefanko는 초기 감염자가 이 악성코드에 어떻게 감염되었는지는 명확히 알 수 없었다고 밝혔습니다. 하지만 웜 기능을 장착한 이 악성코드는 다른 기기로 매우 빠르게 확산될 수 있습니다.

 

초기 감염은 SMS, 메일, 소셜 미디어, 채널/채팅 그룹 등을 통해 이루어 진 것으로 추측합니다.”

 

또한 타사 앱을 다운로드 시 신뢰할 수 있는 출처를 이용하고, 앱이 정식 개발자가 빌드한 것인지 확인하고, 설치 전 앱 권한을 면밀히 조사해야 한다는 점을 다시 한번 강조했습니다.

 

하지만 이 캠페인은 왓츠앱 연락처를 통해 신뢰를 얻기 때문에, 이러한 대응책 조차 충분하지 않을 수 있습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/01/beware-new-wormable-android-malware.html

https://twitter.com/LukasStefanko/status/1352278725702856704

관련글 더보기

댓글 영역